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Verfahren zur Uberwachuna eines Proarammablaufs mittels 
einer Debug Logik 

Die vorliegende Erfindung betrifft ein Verfahren zur 
Uberwachung des Ablaufs eines auf mindestens einem 
Mikroprozessor eines Mikrocontrollers ablauf f ahigen 
Programms mittels einer Debug Logik des Mikrocontrollers, 
wobei von der Debug Logik beim Zugriff auf einen bestimmten 
Adressbereich wahrend der Programmlauf zeit eine 
Ausnahmebedingung (Exception) , insbesondere eine 
Unterbrechung (Interrupt) des Programmablauf s , ausgelost 
wird. 

Die Erfindung betrifft auSerdem ein Steuerelement , 
insbesondere ein Read-Only-Memory oder ein Flash-Memory, 
fiir einen Mikrocontroller insbesondere eines Steuergerats 
eines Kraf tf ahrzeugs , wobei auf dem Steuerelement ein 
Programm abgespeichert ist, das auf mindestens einem 
Mikroprozessor des Mikrocontrollers ablauf fahig und dazu 
geeignet ist, beim Hochfahren des Mikrocontrollers eine 
Debug Logik des Mikrocontrollers zu veranlassen, den Ablauf 
eines weiteren auf dem mindestens einen Mikroprozessor des 
Mikrocontrollers ablauf f ahigen Programms wahrend der 
Programmlauf zeit zu uberwachen, beim Zugriff auf einen 
bestimmten Adressbereich eine Ausnahmebedingung 
(Exception) , insbesondere eine Unterbrechung (Interrupt) 
des Programmablauf s, auszulosen und danach eine 
Ausnahmebedingungs -Routine (Exception-Routine) zu 



durchlauf en . 

SchlieSlich betrifft die vorliegende Erfindung einen 
Mikrocontroller mit mindestens' einem Mikroprozessor und 
einer Debug Logik, wobei auf dem mindestens einen 
Mikroprozessor ein Programm ablauffahig ist, die Debug 
Logik wahrend der Programmlauf zeit den Ablauf des Programms 
iiberwacht und beim Zugriff auf einen bestimmten 
Adressbereich eine Ausnahmebedingung (Exception) , 
insbesondere eine Unterbrechung (Interrupt) des 
Programmablauf s , auslost . 

Stand der Technik 

Aus dem Stand der Technik sind Mikrocontroller bekannt , die 
mindestens einen Mikroprozessor (Rechnerkern) , einen 
Analog/Digital (A/D) -Wandler, einen Digital/Analog (D/A) - 
Wandler, einen Datenbus, einen Adressbus, einen Controlbus, 
interne Steuerelemente (z. B. ein Read-Only-Memory oder ein 
Flash-Memory) und/oder weitere Bauelemente umfassen. Ein 
derartiger Mikrocontroller . ist bspw. Teil eines 
Steuergerates fiir ein Kraf tf ahrzeug . Das Steuergerat dient 
zur Steuerung/Regelung von technischen Vorgangen oder 
Prozessen in dem Kraf tf ahrzeug, z. B. der 
Brennkraf tmaschine, des Getriebes, der Lenkung, des 
Fahrwerks, etc. In einem internen- oder externen 
Steuerelement des Mikrocontrollers ist ein Steuerprogramm 
zur Ausf lihrung der Steuerung/Regelung abgespeichert . Das 
Steuerprogramm ist auf mindestens einem der 
Mikroprozessoren ablauffahig. 

Komplexere Mikrocontroller neuerer Bauart umfassen als 
weiteres Bauelement eine sog. Debug Logik. Die Debug Logik 
wird wahrend der Entwicklung des auf dem mindestens einen 
Mikroprozessor des Mikrocontrollers ablauf fahigen Programms 



eingesetzt und dient zur Verbesserung der Sichtbarkeit der 
Ablaufe in dem Mikrocontroller . Mit Hilfe der Debug Logik 
konnen Fehler in dem Programm erkannt, lokalisiert und aus 
dem Programm entfernt werden. Die Debug Logik ist an einen 
Datenbus, einen Adressbus und/oder einen Controlbus des 
Mikrocontrollers angeschlossen . Dem Adressbus kann die 
Debug Logik entnehmen, auf welchen ausgewahlten 
Adressbereich zugegriffen wird, dem Datenbus, welche Daten 
in den ausgewahlten Adressbereich geschrieben werden sollen 
bzw. aus dem ausgewahlten Adressbereich gelesen warden, und 
dem Controlbus, ob auf den ausgewahlten Adressbereich 
schreibend oder lesend zugegriffen werden soil. 

Die Debug Logik weist daruber hinaus eine Debug- 
Schnittstelle auf, an die ein sog. Debugger angeschlossen 
werden kann. Der Debugger ist ublicherweise als ein 
herkommlicher Personal Computer (PC) ausgebildet, auf dem 
ein Debug -Programm ablauft. Mithilfe des Debuggers kann der 
Programmablauf auf dem Mikroprozessor gesteuert und dabei 
der Zustand des Programms und des Mikrocontrollers 
iiberwacht werden. Nach Abschluss der Entwicklung des 
Programms wird die Debug Logik nicht mehr benotigt. Da sie 
jedoch Teil des Mikrocontrollers ist, wird sie wahrend des 
bestimmungsgemafien Einsatzes des Mikrocontrollers wahrend 
der Programmlauf zeit zwangslaufig mitgefuhrt, obwohl sie 
eigentlich keine Aufgabe hat. 

liber eine event -Leitung steht die Debug Logik mit dem 
Mikroprozessor in Verbindung. Die Debug Logik kann in der 
Regel eine Ausnahmebedingung, eine sog. Exception, bsp^. 
eine Unterbrechung, einen sog. Interrupt, auslosen. Als 
Interrupt wird ein Signal bezeichnet, das von einer 
Ein-/Ausgabeeinheit an den Mikroprozessor gesendet wird, 
wenn ein Fehler aufgetreten ist oder ein Eingriff 
erforderlich ist, um die Ein-/Ausgabe abzuschlieSen . Ein 
Interrupt bewirkt normaleirweise , dass die Ausfuhrung des 



aktuellen Programms ausgesetzt und eine Interrupt -Routine 
ausgefiihrt wird. 

Aus der US 5,809,293 ist es bekannt , wahrend der 
Entwicklung eines auf einem Mikroprozessor eines 
Mikrocontrollers ablauf f ahigen Programms ein sog. Trace 
Tool einzusetzen, das die Ablaufe in dem Mikrocontroller , 
insbesondere in dem Mikroprozessor verfolgt und 
aufzeichnet. Das Sichtbarmachen der Ablaufe mit dem Trace 
Tool stoSt jedoch an seine Grenzen, wenn bspw. zwischen dem 
Trace Tool und dem Mikroprozessor ein Zwischenspeicher 
(Cache) angeordnet ist, in den wahrend der Programmlauf zeit 
Werte zwischengespeichert und bei Bedarf ausgelesen werden. 
Da das Trace Tool in einem solchen Fall nicht unmittelbar 
auf den Mikroprozessor, sondern nur auf die 
zwischengespeicherten Werte Zugriff hat, weilS es nicht, 
welche Befehle von dem Mikroprozessor wann ausgefiihrt 
werden. Die US 5,809,293 schlagt vor, in einem solchen Fall 
eine Debug Logik zur Unterstiit zung des Trace Tools und zur 
Verbesserung der Sichtbarkeit der Ablaufe in dem 
Mikrocontroller einzusetzen. 

Aus der US 5,680,620 ist ein Mikrocontroller mit einer 
Debug Logik bekannt, die verwendet wird, um eine 
Umadressierung, ein sog. Remapping, von Dateneingangen bzw. 
Datenausgangen, sog. Input/Output (I/O) -Ports, auszufiihren. 
Dies kann bspw. notwendig sein, wenn ein altes Programm auf 
einer neuen Hardware-Umgebung ablauf t, in der bestimmte 
I/O- Ports nicht mehr vorhanden sind. Auf die Adressen der 
nicht mehr vorhandenen I/O-Ports wird ein 
Unterbrechungspunkt , ein sog. Breakpoint, gesetzt. Die 
Debug Logik liberwacht den Programmablauf wahrend der 
Programmlauf zeit . Wenn versucht wird, auf eine solche 
Adresse zuzugreifen, wird eine Exception ausgelost und eine 
Exception-Routine ausgefiihrt. Im Rahmen der Exception- 
Routine wird die Adresse des nicht vorhandenen I/O-Ports 



auf der Andresse eines in der neuen Hardware -Umgebung 
vorhandenen I/O-Ports umadressiert . 

Dieses aus der US 5,680,620 bekannte Verfahren kann auch 
angewandt werden, um ein altes Programm in einer neuen 
Betriebssystem-Umgebung ausfiihren zu konnen. Wenn bspw. das 
neue Betriebssystem anders als das alte den Zugriff auf ein 
I/O-Port aus mehreren . Anwendungen heraus zulasst, diirfen 
die Zugriff e aus einer Anwendung nicht - wie unter der 
alten Betriebssystem-Umgebung iiblich - direkt auf den I/O- 
Port erfolgen, sondern mussen liber das Betriebssystem 
geleitet und von diesem koordiniert werden. In diesem Fall 
lost jeder Zugriff auf einen I/O-Port eine Exception aus, 
durch die der Zugriff zur Koordination an das 
Betriebssystem weitergeleitet wird. 

Bei dem aus dem Stand der Technik bekannten Verfahren 
werden nur zulassige Zugriff e auf die I/O-Ports behandelt. 
Im Rahmen des bekannten Verfahrens findet keine Uberprufung 
der Befehle bzw. des Programms auf mogliche Fehlerzustande 
statt. Bei dem bekannten Verfahren handelt es sich also um 
eine reine Betriebssystemerweiterung . 

Aus dem Stand der Technik ist es des weiteren bekannt, zur 
Uberwachung eines Stacks eines Mikrocontrollers wahrend des 
Hochfahrens des Mikrocontrollers in einen Speicherbereich 
am Rande des Stacks ein Muster zu schreiben und wahrend der 
Programmlauf zeit von Zeit zu Zeit zu priifen, ob dieses 
Muster verandert wird oder nicht . Eine Veranderung des 
Musters deutet auf einen Stackiiberlauf oder Stackunter lauf 
hin. Eine derartige Uberwachung eines Speicherbereichs hat 
jedoch den Nachteil, dass sie relativ Resourcenintensiv 
ist, insbesondere kostet sie Rechenleistung des 
Mikroprozessors und Programmspeicher . Aufierdem ist es bei 
modernen Mikrocontrollern zur Uberwachung eines Stacks 
nicht mehr ausreichend, eine Veranderung eines Musters in 
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einem begrenzten Speicherbereich am Rande des Stacks zu 
uberwachen, da beim Aufbau eines Stackf rames auch ein 
Sprung iiber mehrere Adressen stattfinden kann, ohne dass 
die Adressen in dem Zwischenraum verandert warden. Aus 
5 diesem Grund muss der zu liberwachende Speicherbereich am 

Rande des Stacks immer groSer gewahlt warden, wodurch die 
Resourcen des Mikrocont rollers stark belastet werden und 
die Rechenzeit ansteigt . AuBerdem erkennt das bekannte 
Verfahren einen Stackuberlauf bzw. einen Stackunterlauf 

10 erst, wenn bereits auf Speicherbereiche auSerhalb des 

vorgesehenen Stackbereichs zugegriffen worden ist. Dadurch 
besteht die Gefahr, dass das auf dem Mikroprozessor 
^ ablauffahige Programm in einen undef inierten Zustand gerat 
noch bevor das Uberschreiten oder Unterschreiten des 

15 vorgesehenen Stackbereichs detektiert wird und 

entsprechende Gegenmassnahmen eingeleitet werden konnen. 

Die Aufgabe der vorliegenden Erfindung besteht darin, eine 
besonders zuverlassige aber dennoch moglichst 
2 0 resourcenschonende Uberwachung das Ablaufs eines auf einem 

Mikroprozessor ablauf f ahigen Programms auf Fehlerzustande 
zu schaffen. 

Zur Losung der Aufgabe schlagt die Erfindung ausgehend von 

2 5 dem Verfahren der eingangs genannten Art vor, dass die 

Debug Logik von dem Mikroprozessor konfiguriert wird und 
von der Debug Logik nach dem Auslosen einer 
Ausnahmebedingung wahrend der Programmlauf zeit eine 
Ausnahmebedingungs- Routine (Exception-Routine) durchlaiaf en 

3 0 wird. 



Vorteile der Erfindung 



3-5 



GemaS der vorliegenden Erfindung wird eine Debug Logik, die 
wahrend der Programmlauf zeit in der Regal ohne eine Aufgabe 



ist, zur Uberwachung des Programms auf Fehlerzustande 
herangezogen . Die von der Debug Logik zu detektierenden 
Fehlerzustande konnen unterschiedlicher Art sein. 
Insbesondere ist an die Uberwachung von bestimmten 
Speicherbereichen gedacht, urn einen unerlaubten Zugriff auf 
diese Speicherbereiche zu verhindern. Es ist denkbar, dass 
das Programm aufgrund von Programmierungs- oder 
Hardwaref ehlern wahrend der Programmlauf zeit auf physisch 
nicht vorhandene oder auf Speicherbereiche zugreifen 
mochte, die auSerhalb eines vorgesehenen Speicherbereichs 
liegen. Ein solcher unerlaubter Zugriff kann das Programm 
in einen undef inierten Zustand und zu unvorhersehbaren 
Aktionen des Steuergerats fiihren. 

Der Einsatz der Debug Logik zur Fehleranalyse eines 
Programms wahrend der Programmlauf zeit hat den Vorteil, 
dass die Debug Logik eine zuverlassige Uberwachung des 
Programmablauf s ermoglicht. AuSerdem handelt es sich urn 
eine besonders resourcenschonende Uberwachung des 
Programmablauf s , da die Debug Logik weder Rechenleistung. 
des Mikroprozessors noch Programmspeicher beansprucht . 

Mit dem erf indungsgemaSen Verfahren kann die Sicherheit 
eines Mikrocontrollers auf verschiedene Weise erhoht 
werden, Zunachst ist eine hohere Rechenbelastung des 
Mikroprozessors moglich. AuSerdem ist eine zuverlassige 
Funktion der Fehleranalyse unabhangig von der 
Rechenbelastung des Mikroprozessors gegeben. SchlieSlich 
ist die Implement ierung der Fehleranalyse unabhangig von 
der verwendeten Speicherrealisierung . Bei einem Stack ist 
es bspw. unerheblich, wie ein Stackframe angelegt wird . 
Selbst ein Sprung liber mehrere Speicheradressen beim Aufbau 
des Stackframes fuhrt nicht zum Verlust der 
Uberwachungssicherheit . 

GemaS einer vorteilhaf ten Weiterbildung der vorliegenden 



Erfindung wird vorgeschlagen, dass die Debug Logik wahrend 
des Hochf ahrens des Mikrocontrollers konfiguriert wird. 

GemaS einer bevorzugten Ausf uhrungsf orm der vorliegenden 
Erfindung wird vorgeschlagen, dass der Mikrocontroller 
wahrend des Durchlaufs der Exception-Routine riickgesetzt 
und erneut hochgefahren und das liberwachte Programm 
initial isiert wird. 

Urn zu verhindern, dass das Programm aufgrund des 
auf getretenen Fehlerzustandes in einen undef inierten 
Zustand gerat und das Steuergerat unvorhersehbare Aktionen 
ausfiihrt, wird der Mikrocontroller nach dem Auslosen der 
Ausnahmebedingung sicherheitshalber riickgesetzt und neu 
hochgefahren und das Programm initialisiert . Nach dem 
Hochfahren des Mikrocontrollers und dem Initialisieren des 
Programms befindet sich dieses in einem definierten 
Ausgangs zustand . 

GemaS einer anderen bevorzugten Ausf uhrungsf orm der 
Erfindung wird vorgeschlagen, dass vor dem Riicksetzen und 
dem erneuten Hochfahren des Mikrocontrollers und vor der 
Initialisierung des Programms zumindest die Art des 
Fehlerszustandes in einem Fehlerspeicher abgelegt wird- Der 
Inhalt des Fehlerspeichers kann von Zeit zu Zeit, bspw. bei 
einem Werkstattauf enthalt des Kraf tf ahrzeugs , ausgelesen 
und analysiert werden, Aus dem Fehlerspeicher lassen sich 
wichtige Inf ormationen liber die Zuverlassigkeit des 
Programms und damit auch liber die Sicherheit des 
Steuergerats entnehmen. Vorteilhaf terweise wird vor dem 
Rucksetzen und dem erneuten Hochfahren des , Mikrocontrollers 
und vor der Initialisierung des Programms auch die 
Speicheradresse, auf die vor Auftreten des Fehlerzustandes 
zugegriffen wurde, in dem Fehlerspeicher abgelegt. 

GemaS einer vorteilhaf ten Weiterbildung der vorliegend-en 
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Erfindung wird vorgeschlagen, dass von der Debug Logik 
uberwacht wird, ob das Programm w^hrend der 

Programmlauf zeit auf einen vorgebbaren Adressbereich eines 
Speichers zugreif t . Die Debug Logik steht mit einem 
Adressbus, einem Datenbus und/oder einem Controlbus in 
Verbindung. Dem Adressbus kann die Debug Logik entnehmen, 
auf welchen Adressbereich zugegriffen wird, dem Datenbus, 
welche Daten in einen bestimmten Adressbereich geschrieben 
bzw.. aus einem bestimmten Adressbereich gelesen wurden, und 
dem Controlbus, ob auf einen bestimmten Adressbereich 
schreibend oder lesend zugegriffen wird. Der Adressbereich 
kann bspw. einem bestimmten Speicherbereich zugeordnet 
sein. 

GemaS einer bevorzugten Aus fuhrungs form der Erfindung wird 
vorgeschlagen, dass von der Debug Logik uberwacht wird, ob 
das Programm wahrend der Programmlauf zeit auf einen 
Adressbereich eines Stacks des Mikrocontrollers jenseits 
einer vorgebbaren maximalen StackgroSe zugreift. Jenseits 
der maximalen StackgroSe wird ein illegaler 

Speicherbereich, eine sog. Breakregion, definiert, auf den 
ein Unterbrechungspunkt , ein sog. Breakpoint gesetzt wird. 
Wenn ein Stackpointer wahrend der Programmlauf zeit auf 
diesen illegalen Speicherbereich zeigt, falls also versucht 
wird, auf den illegalen Speicherbereich zuzugreifen, wird 
eine Ausnahmebedingung, eine sog. Exception, ausgelost . 

Der Stack ist der einzige Speicherbereich, dessen GroSe 
nicht genau festgelegt ist und sich wahrend der 
Programmlauf zeit andern kann. Zur Einsparung von 
Speicherplatz wird der maximale Stackbereich so klein wie 
moglich gewahlt . Andererseits muss er jedoch ausreichend 
groS gewahlt werden, um auch im worst case sicherzuste lien, 
dass der Stackpointer stets auf eine Adresse innerhalb des 
maxi-malen Speicherbereichs zeigt. In bestimmten 
Betriebsituationen des Mikrocontrollers kann es dazu 



kommen, dass so weit gefullt ist, dass der Stackpointer auf 
den illegalen Speicherbereich zeigt.-Diese Situationen 
konnen mit dent erf indungsgemaBen Verfahren besonders 
zuverlassig und gleichzeitig resourcenschonend detektiert 
werden . 

GemaS einer alternativen Weiterbildung der vorliegenden 
Erfindung wird vorgeschlagen, dass von der Debug Logik 
uberwacht wird, ob wahrend der Programmlauf zeit versucht 
wird, eine aus einem Flash-Speicher des Mikrocontrollers in 
einen Random-Access-Speicher des Mikrocontrollers 
ausgelagerte Code-Sequenz des Programms in dem Flash- 
Speicher zur Ausfuhrung zu bringen. Ein Update eines Flash- 
Speichers wahrend der Programmlauf zeit wird in der Regel 
liber einen Contoller Area Network (CAN) -Bus oder eine 
Diagnoseschnittstelle ausgefiihrt, da diese bei einem 
geschlossenen Steuergerat ublicherweise die einzigen von 
auSen frei zuganglichen Schnittstellen sind. Diese 
Schnittstellen werden von bestimmten Codesequenzen eines 
Programms gesteuert . Der Update des Flash-Speichers kann 
deshalb nur wahrend der Ausfuhrung dieser Codesequenzen 
ausgefiihrt werden. Aus diesem Grund ist es notwendig 
wahrend des Updates des Flash-Speichers die zur Steuerung 
der Schnittstellen erf orderlichen Codesequenzen des 
Programms aus dem Flash-Speicher in ein Random-Access- 
Memory zu libertragen, wo sie ausgefiihrt werden miissen. Wenn 
nun wahrend der Programmlauf zeit versucht wird, auf den 
Flash-Speicher zur Ausfuhrung der Codesequenzen 
zuzugreifen, deutet dies darauf hin, dass sich ein 
Programmzeiger versprungen hat. Es besteht die Gefahr, dass 
das Programm in einen undef inierten Zustand gerat . Aus 
diesem Grund wird von der Debug Logik eine Exception 
ausgelost, falls wahrend der Programmlauf zeit versucht 
wird, auf den Flash-Speicher zur Ausfuhrung der 
Codesequenzen zuzugreif en . 



Im Rahmen der vorliegenden Erfindung kann von der Debug 
Logik auch die Auslastung des Mikroprozessors des 
Mikrocontrollers wahrend der Programmlauf zeit iiberwacht 
werden. Dazu wird von der Debug Logik Anfang und Ende einer 
Idle-Task erfasst und mithilfe eines weiteren 
Mikroprozessors protokolliert . Der Mikroprozessor fiihrt 
dann eine Idle -Task aus, wenn er sonst keine Tasks 
ausfiihren muss, wenn er also nicht ausgelastet ist . Die 
Haufigkeit der Ausfiihrung der Idle-Task ist also umgekehrt 
proprotional der Auslastung des Mikrocontrollers. Die 
Speicheradressen der Idle-Task sind bekannt . Die Debug 
Logik kann einen Zugriff auf diese Speicheradressen 
uberwachen und zu Beginn und Ende der Idle-Task eine 
Exception auslosen. Der weitere Mikroprozessor kann die 
Event-Leitung uberwachen, liber die die Debug Logik mit dem 
Mikroprozessor in Verbindung steht . Der weitere 
Mikroprozessor detektiert das Auslosen einer Exception und 
kann dadurch Anfang und Ende der Idle-Task protokollieren . 
Bei einem Mikrocontroller mit mehreren Mikroprozessoren . 
kann ein erster Prozessor des Mikrocontrollers zur 
Ausfiihrung des Programms und ein anderer Prozessor des 
Mikrocontrollers zur Uberwachung der Auslastung des ersten 
Prozessors herangezogen werden. 

Von besonderer Bedeutung ist die Realisierung des 
erf indungsgemaSen Verfahrens in Form eines Steuerelements , - 
das fur einen Mikrocontroller insbesondere eines 
Steuergerats eines Kraf tf ahrzeugs vorgesehen ist. Dabei ist 
auf dem Steuerelement ein Programm abgespeichert , das auf 
mindestens einem Mikroprozessor eines Mikrocontrollers 
ablauffahig und zur Ausfiihrung eines erf indungsgemaSen 
Verfahrens geeignet ist. Insbesondere ist das Steuerelement 
dazu geeignet, beim Hochfahren des Mikrocontrollers eine 
Debug Logik des Mikrocontrollers zu veranlassen, den Ablauf 
eines weiteren auf dem mindestens einen Mikroprozessor* des 
Mikrocontrollers ablauf fahigen Programms wahrend der 
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Programmlauf zeit zu iiberwachen. Durch das Programm wird ein 
Breakpoint auf einen bestimmten Adressbereich gelegt, so 
dass bei einem Zugriff auf diesen Adressbereich eine 
Ausnahmebedingung (Exception) , insbesondere eine 
Unterbrechung (Interrupt) des Programmablauf s , ausgelost 
wird. Das Programm umfasst auch eine besondere 
Ausnahmebedingungs- Routine (Exception-Routine) , die im 
Anschluss an die Ausnahmebedingung durchlaufen wird. Im 
Rahmen der Ausnahmebedingungs -Routine wird der 
Mikrocontroller riickgesetzt und erneut hochgefahren und das 
liberwachte Programm initialisiert . Das weitere, zu 
uberwachende Programm ist bspw. als ein Steuerprogramm des 
Steuergerats ausgebildet . Als Steuerelement kann 
insbesondere ein elektrisches Speichermedium zur Anwendung 
kommen, bspw. ein Read-only-Memory oder ein Flash-Memory. 

Als eine weitere Losung der Aufgabe der vorliegenden 
Erfindung wird ausgehend von dem Mikrocontroller der 
eingangs genannten Art vorgeschlagen, dass der 
Mikroprozessor die Debug Logik konfiguriert und der 
Mikrocontroller Mittel zum Durchlaufen einer 
Ausnahmebedingungs -Routine (Exception-Routine) nach dem 
Auslosen einer Ausnahmebedingung wahrend der 
Programmlauf zeit aufweist . 

GemaS einer vorteilhaf ten Weiterbildung der Erfindung vrird 
vorgeschlagen, dass der Mikrocontroller weitere Mittel zur 
Ausfuhrung eines Verfahrens nach einem der Anspriiche 1 bis 
8 aufweist. 



Zeichnungen 

Weitere Merkmale, Anwendungsmoglichkeiten und Vorteile der 
Erfindung exgeben sich aus der nachf olgenden Beschreib>ung 
von Ausfiihrungsbeispielen der Erfindung, die in der 
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Zeichnung dargestellt sind. Dabei bilden.alle beschriebenen 
Oder dargestellten Merkmale fur sich oder in beliebiger 
Kombination den Gegenstand der Erfindung, unabhangig von 
ihrer Zusammenf assung in den Patentanspruchen oder deren 
5 Riickbeziehung sowie unabhangig von ihrer Formulierung bzw, 

Darstellung in der Beschreibung bzw. in der Zeichnung. Es 

einen erf indungsgemaSen Mikrocontroller gemaS 
einer ersten bevorzugten Ausf uhrungsf orm der 
Erfindung; 

einen erf indungsgemaSen Mikrocontroller gemaE 
einer zweiten bevorzugten Ausf uhrungsf orm der 
E r f i ndung ; und 

ein Ablauf diagramm des erf indungsgemaSen 
Verf ahrens . 

20 

Beschreibung der Ausf iihrungsbeispiele 

In Fig. 1 ist ein Mikrocontroller gemaS der vorliegenden 
Erfindung in seiner Gesamtheit mit dem Bezugszeichen 1 

25 bezeichnet. Der Mikrocontroller 1 ist bspw. Teil eines 

^(9^ / Steuergerates 2 fur ein Kraf tf ahrzeug . Das Steuergerat 2 
''^'^ dient zur Steuerung/Regelung von technischen Vorgangen oder 
Prozessen in dem Kraf tf ahrzeug, z. B. der 
Brennkraf tmaschine, des Getriebes, der Lenkung, des 

3 0 FahrwerkS; etc, Der Mikrocontroller 1 weist einen 

Mikroprozessor 3, auf dem ein Steuerprogramm zur Ausfiihrung 
der Steuerung/Regelung ablauf fahig ist. Das Steuerprogramm 
ist in einem internen Steuerelement 4 und/oder in einem 
externen Steuerelement 5 abgespeichert . Die Steuerelemente 

35 4,5 sind vorzugsweise als Speicherelemente ausgebildet. 

Das interne Steuerelement 4 ist als ein Flash-Speicheir und 
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zeagen : 
Fig. 1 



Fig. 2 



Fig. 3 
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das externa Steuerelement 5 als ein Random- Access -Memory 
ausgebildet. Das externe Steuerelement 5 ist uber ein Bus- 
Interface 13 an den Datenbus D, den Adressbus A und den 
Controlbus C angeschlossen . Das Bus- Interface 13 wandelt 
die Bussignale in den Standard des externen Steuerelements 
5 um. 

Der Mikrocontroller 1 weist des weiteren eine Debug Logik 6 
auf . Die Debug Logik 6 wird nach dem Stand der Technik 
wahrend der Entwicklung des auf dem Mikroprozessor 3 des 
Mikrocontrollers 1 ablauf f ahigen Steuerprogramms eingesetzt 
und dient zur Verbesserung der Sichtbarkeit der Ablaufe in 
dem Mikrocontroller 1. Mit Hilfe der Debug Logik 6 konnen 
Fehler in dem Steuerprogramm erkannt, lokalisiert und aus 
dem Programm entfernt werden. Der Mikroprozessor 3, das 
interne Steuerelement 4, das externe Steuerelement 5 und 
die Debug Logik 6 stehen iiber einen Datenbus D, einen 
Adressbus A und/oder einen Controlbus C des 
Mikrocontrollers 1 untereinander in Verbindung, 

Die Debug Logik 6 weist eine von auSerhalb des Steuergerats 
2 zuganglich an das Gehause des Steuergerats 2 gefuhrte 
Debug-Schnittstelle 7 auf, an die ein sog. Debugger 8 
angeschlossen werden kann. Der Debugger 8 ist liblicherweise 
als ein herkommlicher Personal Computer (PC) ausgebildet, 
auf dem ein Debug- Programm ablauf t. Mithilfe des Debuggers 
8 kann der Ablauf des Programms auf dem Mikroprozessor 3 
gesteuert und dabei der Zustand des Programms und des 
Mikrocontrollers 1 uberwacht werden. 

Uber eine event -Leitung 9 steht die Debug Logik S mit dem 
Mikroprozessor 3 in Verbindung. Die Debug Logik 6 kann eine 
Ausnahmebedingung, eine sog. Exception, bspw. eine 
Unterbrechung, ein sog. Interrupt, erzeugen und die 
Exception liber die event-Leitung 9 an den Mikroprozessor 3 
leiten. Beim Auftreten einer bestimmten Exception wird aus 
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einer Exception-Tabelle eine entsprechende Exception- 
Routine ausgewahlt , Die Ausfiihrung des aktuellen Programms 
wird ausgesetzt und die Exception-Routine durchlaufen. Eine 
Exception-Routine kann verschiedene Aktionen veranlassen, 
die von einem Rucksetzen und erneutem Hochfahren des 
Mikrocontrollers 1 und einer Init ialisierung des Programms 
bis zu einem Bedienen bestimmter Bauelemente (z. B. von 
Ein-/Ausgabeeinheiten) des Mikrocontrollers 1 reichen. 

Erf indungsgemaS wird die Debug Logik 6 wahrend der Laufzeit 
des auf dem Mikroprozessor 3 ausfuhrbaren Programms zur 
Uberwachung des Programms auf das Auftreten eines 
vorgebbaren Fehlerzustandes eingesetzt. Nach dem Auftreten 
des vorgegebenen Fehlerzustandes wird uber die event - 
Leitung 9 eine Ausnahmebedingung ausgelost und eine dem 
Fehlerzustand entsprechende Exception-Routine durchlaufen. 
Im Rahmen der Exception-Routine wird zunachst die Art des 
Fehlerszustandes und die Speicheradresse , auf die vor dem 
Auftreten des Fehlerzustandes zugegriffen wurde, in einem 
Fehlerspeicher (nicht dargestellt) abgelegt. Danach wird 
der Mikrocontroller 1 riickgesetzt und erneut hochgefahren 
und das uberwachte Steuerprogramm initialisiert . Der Inhalt 
des Fehlerspeichers kann von Zeit zu Zeit, bspw. bei einem 
Werkstattauf enthalt des Kraf t f ahrzeugs , ausgelesen und 
analysiert werden . 

Die Fehleranalyse gemaS dem erf indungsgemaSen Verfahren 
wird vorzugsweise zum Uberwachen eines vorgebbaren 
Adressbereichs eines Speichers eingesetzt, Insbesondere 
wird das Steuerprogramm dahingehend uberwacht, ob wahrend 
der Programmlauf zeit auf einen illegalen Adressbereich 10 
eines Stacks 11 des Mikrocontrollers 1 jenseits einer 
vorgebbaren maximalen StackgroSe von 4 kB zugreift. Ein 
Stapelspeicher, ein sog. Stack 11, ist ein Bereich eines 
Random - Ac cess-Memor-y (RAM) 12 des Mikrocontrollers 1. Bei 
dem Stack 11 handelt sich um eine Datenstruktur , bei der 
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Datenelemente am Ende einer sequent iellen Liste hinzugefiigt 
(in den Stack 11 eingegeben) und von demselben Ende wieder 
abgerufen (aus dem Stack 11 entnommen) werden. Diese 
Zugriffsart entspricht dem Last-In/First-Out (LIFO) - 
Verfahren. In dem vorliegenden Ausf iihrungsbeispiel hat das 
RAM 12 eine GroSe von 26 kB, die maximale StackgroiSe 
betragt 4 kB . 

Auf den illegalen Speicherbereich 10 wird ein 
Unterbrechungspunkt , ein sog. Breakpoint gesetzt. Der 
Speicherbereich 10 wird auch als Breakregion bezeichnet. 
Sobald ein Stackpointer auf den illegalen Speicherbereich 
10 zeigt, lost die Debug Logik 6 liber die event-Leitung 9 
eine Exception aus. Der Stackpointer ist bspw. als ein 
vordef iniertes Register ausgebildet, dessen Dateninhalt dem 
Adressbereich des Stacks 11 entspricht, auf den der 
Stackpointer zeigt . Wenn auf dem Adressbus A bspw. ein Wert 
liegt, der innerhalb des illegalen Speicherbereichs 10 
liegt, wird dies von der Debug Logik 6 registriert . Wird 
dann zusatzlich noch an den Controlbus C ein Befehl zum 
Schreiben oder Lesen angelegt, wenn also versucht wird, auf 
den illegalen Speicherberich 10 zuzugreifen, lost die Debug 
Logik 6 die Exception aus. 

In Fig. 2 ist eine alternativ Ausf lihrungsf orm der 
vorliegenden Erfindung dargestellt. Ein Update des als 
Flash-Speicher ausgebildeten internen Steuerelements 4 
wahrend der Programmlauf zeit wird in der Regel liber einen 
Contoller Area Network (CAN) -Bus 14 oder eine 
Diagnoseschnittstelle 15 ausgefuhrt, da diese bei einem 
geschlossenen Steuergerat 2 ublicherweise die einzigen von 
auSen frei zuganglichen Schnittstellen sind. Diese 
Schnittstellen 14, 15 werden von bestimmten Codesequenzen 
eines auf dem Mikroprozessor 3 ablauf f ahigen Programms 
gesteuert. Der Update des internen Steuerelements 4 kann 
deshalb nur wahrend der Ausfuhrung dieser Codesequenzen 
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durchgefiihrt warden. Aus diesem Grund ist es notwendig 
wahrend des Updates des internen Steuerelements 4 die zur 
Steuerung der Schnittstellen 14, 15 erf orderlichen 
Codesequenzen des Programms aus dem internen Steuerelement 
4 in den bspw. als Random- Access -Memory ausgebildeten 
externen Speicher 5 zu libertragen, wo sie wahrend des 
Updates ausgefiihrt werden mussen. 

Es ist denkbar, dass das Steuerprogramm auf grund von 
Programmierungs- oder Hardwaref ehlern wahrend der 
Programmlauf zeit f alschlicherweise auf das internen 
Steuerelement 4 zur Ausfuhrung der ausgelagerten 
Codesequenzen zugreifen mochte. Dies deutet darauf hin, 
dass sich ein Programmzeiger versprungen hat. Es besteht 
die Gefahr, dass das Programm in einen undef inierten 
Zustand gerat . Urn dies zu vermeiden wird gemaS der zweiten 
bevorzugten Ausf lihrungsf orm der Erfindung von der Debug 
Logik 6 uberwacht, ob wahrend des Ablaufs des 
Steuerprogramms versucht wird, die ausgelagerte Code- 
Sequenz des Steuerprogramms in dem internen Steuerelement 4 
zur Ausfuhrung zu bringen. Die Debug Logik 6 lost eine 
Exception aus, falls wahrend der Programmlauf zeit versucht 
wird, auf den internen Speicher 4 zur Ausfuhrung der 
Codesequenzen zuzugreif en . 

In Fig. 3 ist ein Ablauf diagramm des erf indungsgemaSen 
Verfahrens fur das Ausf iihrungsbeispiel aus Fig. 1 
dargestellt. Das Verfahen beginnt in Funktionsblock 20. 
Anschliefiend wird in einem Funktionsblock 21 der 
Mikrocontroller 1 hochgef ahren . Wahrend des Hochfahrens des 
Mikrocontrollers 1 wird in Funktionsblock 22 auf dem 
Mikroprozessor 3 ein auf einem Steuerelement, z. B. dem 
internen Steuerelement 4, abgespeichertes Programm 
ausgefiihrt. Das Programm ist dazu geeignet, beim Hochf ahren 
des Mikrocontrollers 1 die Debug Logik 6 zu veranlassen, 
den Ablauf des weiteren auf dem Mikroprozessor 3 des 
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Mikrocontrollers 1 ablauf f ahigen Stuerprogramms wahrend der 
Programmlauf zeit zu uberwachen. Durch das Programm wird 
wahrend des Hochfahrens ein Breakpoint auf den illegalen 
Adressbereich 10 gelegt, so dass bei eineni Zugriff auf 
diesen Adressbereich 10 die Exception ausgelost wird. Das 
Programm umfasst auch eine bestimmte Exception-Routine, die 
nach dem Auslosen der Exception durchlaufen wird. 

In einem nachf olgenden Funkt ionsblock 23 wird das zu 
liberwachende Steuerprogramm initialisiert . Anschliefiend 
wird das zu iiberwachende Steuerprogramm in einem 
Funkt ionsblock 24 ausgefiihrt, d. h. das Steuergerat 2 
erfiillt seine bestimmungsgemaSe Steuerungs-/ 

Regelungsauf gabe . Parallel dazu iiberwacht die Debug Logik 6 
in einem Funktionsblock 25 den Ablauf des Steuerprogramms 
und erfiillt ihre Fehleranalyseauf gabe . 

In einem Abfrageblock 26 wird uberpriift, ob das 
Steuerprogramm wahrend der Programmlauf zeit auf den 
illegalen Adressbereich 10 zugreift. Falls nein, wird 
wieder zu den Funktionsblocken 24 und 25 verzweigt. Falls 
ja, wird eine Exception ausgelost (Funktionsblock 27) , der 
Ablauf des Steuerprogramms wird unterbrochen und die 
Exception-Routine wird durchlaufen. Im Rahmen der 
Exception-Routine wird zunachst in einem Funktionsblock 28 
die Art des Fehlerszustandes und die Speicheradresse , auf 
die vor Auftreten des Fehlerzustandes zugegriffen wurde, in 
einem Fehlerspeicher abgelegt wird. Danach wird in einem 
Funktionsblock 29 der Mikrocontroller 1 riickgesetzt und 
erneut hochgef ahren , SchlieiSlich wird das uberwachte 
Steuerprogramm in einem Funktionsblock 3 0 initialisiert und 
dann zu dem Funktionsblock 24 zur weiteren Ausfiihrung des 
Steuerprogramms und zu Funktionsblock 2 5 zur parallelen 
Fehleranalyse verzweigt. 
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17.07.2000 

Robert Bosch GmbH, 70469 Stuttgart 
Anspriiche 

1. Verfahren zur Uberwachung des Ablaufs eines auf 
mindestens einem Mikroprozessor (3) eines Mikrocontrollers 

(1) ablauf f ahigen Programms mittels einer Debug Logik (6) 
des Mikrocontrollers (1) , wobei von der Debug Logik (6) 
beim Zugriff auf einen bestimmten Adressbereich (10) 
wahrend der Programmlauf zeit eine Ausnahmebedingung 
(Exception) , insbesondere eine Unterbrechung (Interrupt) 
des Prograimnablauf s, ausgelost wird, dadurch 
gekennzeichnet , dass die Debug Logik (6) von dem 
Mikroprozessor (3) konfiguriert wird und von der Debug 
Logik (6) nach dem Auslosen einer Ausnahmebedingung wahrend 
der Programmlauf zeit eine Ausnahmebedingungs- Routine 
(Exception-Routine) durchlaufen wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , 
dass die Debug Logik (6) wahrend des Hochfahrens des 
Mikrocontrollers (1) konfiguriert wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dass der Mikrocontroller (1) wahrend des 
Durchlaufs der Exception-Routine ruckgesetzt und erneut 
hochgefahren und das uberwachte Programm initialisiert 
wird. 

4. Verfahren nach Anspruch 3, dadurch gekennzeichnet / 
dass vor dem Riicksetzen und dem erneuten Hochfahren des 
Mikrocontrollers (1) und vor der Initialisierung des 
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Programms zumindest die Art des Fehlerszustandes in einem 
Fehlerspeicher abgelegt wird. 

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet , 
dass vor dem Riicksetzen und dem erneuten Hochfahren des 
Mikrocontrollers (1) und vor der Initialisierung des 
Programms die Speicheradresse , auf die vor Auftreten des 
Fehlerzustandes zugegriffen wurde, in' dem Fehlerspeicher 
abgelegt wird, 

6. Verfahren nach einem der Anspruche 1 bis 5, dadurch 
gekennzeichnet , dass von der Debug Logik (6) uberwacht 
wird, ob das Programm wahrend der Programmlauf zeit auf 
einen vorgebbaren Adressbereich (10) eines Speichers (12) 
zugreif t . 
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7, Verfahren nach Anspruch 6, dadurch gekennzeichnet , 
dass von der Debug Logik (6) uberwacht wird, ob das 
Programm wahrend der Programmlauf zeit auf einen 
Adressbereich (10) eines Stacks (12) des Mikrocontrollers 
(1) jenseits einer vorgebbaren maximalen StackgroSe (11) 
zugreif t . 

Verfahren nach einem der Anspruche 1 bis 5, dadurch 
^kennzeichnet, dass von der Debug Logik (6) uberwacht 
wird, ob wahrend der Programmlauf zeit versucht wird, eine 
aus einem Flash-Speicher (4) des Mikrocontrollers (1) in 
einen Random-Access-Speicher (5) des Mikrocontrollers (1) 
ausgelagerte Code-Sequenz des Programms in dem Flash- 
Speicher (4) zur Ausfuhrung zu bringen. 
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9. Steuerelement (4), insbesondere Read-Only-Memory oder 
Flash-Memory, fiir einen Mikrocontroller (1) insbesondere 
eines Steuergerats (2) eines Kraf tf ahrzeugs , wobei auf dem 
Steuerelement (4) ein Programm abgespeichert ist, das auf 
mindestens einem Mikroprozessor (3) des Mikrocontrollers 
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(1) ablauffahig und zur Ausfuhrung .eines Verfahrens nach 
einem der Anspriiche 1 bis 8 geeignef ist, 

10. Mikrocontroller (1) mit mindestens einem 

5 Mikroprozessor (3) und einer Debug Logik (6), wobei auf dem 

mindestens einen , Mikroprozessor (3) ein Programm 
ablauffahig ist, die Debug Logik (6) wahrend der 
Programmlauf zeit den Ablauf des Programms liberwacht und 
beim Zugriff auf einen bestimmten Adressbereich (10) • eine 

10 Ausnahmebedingung (Exception) , insbesondere eine 

Unterbrechung (Interrupt) des Programmablauf s , auslost, 
dadurch gekennzeichnet , dass der Mikroprozessor (3) die 
^^u. Debug Logik (6) konfiguriert und der Mikrocontroller (1) 
Mittel zum Durchlaufen einer Ausnahmebedingungs -Routine 

15 (Exception-Routine) nach dem Auslosen einer 

Ausnahmebedingung wahrend der Programmlauf zeit aufweist. 

11. Mikrocontroller (1) nach Anspruch 10, dadurch 
gekennzeichnet, dass der Mikrocontroller (1) weitere Mittel 

2 0 zur Ausfuhrung eines Verfahrens nach einem der Anspriiche 1 

bis 8 aufweist. 
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Verfahren zur Uberwachung eines Proarammablauf s mittels 
einer Debug Locrik 

Zusammenf assung 

Die Erfindung betrifft ein Verfahren zur Uberwachung des 
Ablaufs eines auf mindestens einem Mikroprozessor (3) eines 
Mikrocontrollers (1) ablauf f ahigen Progratnms mittels einer 
Debug Logik (6) des Mikrocontrollers (1) , wobei von der 
Debug Logik (6) beim Zugriff auf einen bestimmten 
Adressbereich (10) wahrend der Programmlauf zeit eine 
Ausnahmebedingung (Exception) , insbesondere eine 
Unterbrechung (Interrupt) des Programmablauf s , ausgelost 
wird. Um eine besonders zuverlassige aber dennoch moglichst 
resourcenschonende Uberwachung des Ablaufs eines auf einem 
Mikroprozessor (3) ablauf f ahigen Programms auf 
-^^hlerzustande zu schaffen, wird vorgeschlagen, dass die 
Debug Logik (6) von dem Mikroprozessor (3) konfiguriert 
wird und von der Debug Logik (6) nach dem Auslosen einer 
Ausnahmebedingung wahrend der Programmlauf zeit eine 
Ausnahmebedingungs- Routine (Exception-Routine) durchlaufen 
wird. Vorteilhaf terweise wird die Debug Logik (6) wahrend 
des Hochfahrens des Mikrocontrollers (1) konfiguriert. 
Wahrend des Durchlaufs der Exception-Routine wird 
vorzugsweise der Mikrocontroller (1) ruckgesetzt und erneut 
hochgef ahren und das liberwachte Programm initialisiert . 
(Figur 1) 



